On 01/14/2014 09:57 AM, Munteanu Alexandru wrote:
> Salut,
>
> Se da o retea de 1000 calculatoare. RSTP este activat pe uplink-uri dar nu
> si catre pc-uri (normal).
> Switch-urile au un fel de network loop protect dar nu toate suporta
> capabilitatea asta.
> Multe birouri au in podea o cutie cu mai multe prize de retea grupate.
>
> Sunt 2 cazuri in care se produce bucla:
> 1. cablu conectat in podea dintr-o priza in alta, dar fara stp activat nu
> se blocheaza niciun port.
> 2. bucla formata local intr-un switch virtual dintr-un calculator sau pe
> un switch pe masa unui X, conectat in priza de retea din podea.
>
> In cazul 2 sa zicem ca majoritatea switch-urilor stiu loop guard si pune
> portul in errdisable. (dar sunt cazuri in care nu)
> In cazul 1 e monster kill.
>
> Se pot implementa diferite politici de securitate dar nu fac obiectul
> acestui mail (Sticky Mac si altele dar nu se pot aplica)
>
> Intrebarea: Cum pot face cu o masina care are linux pusa in bridge in
> swich (port mirror uplink),sa detectez bucla eventual cat mai multe
> informatii.
> Ok pot folosi TCPdump-ul si un script sa identific volumul de
> broadcast la fiecare cateva minute si la un threshold sa alerteze.
> Cred ca si Cacti poate face asta nu neaparat cu tcpdump. Dar
> asta nu ma ajuta decat sa depistez cand a inceput bucla.
> O alta metoda ar fi sa folosesc momentul t cand s-a produs
> bucla si un logwatch sa vad ce cabluri s-au conectat si unde.
> Tot nu este de ajuns, caut o metoda prin care analizand
> traficul de broadcast/unicast cu tcpdump pus pe un port mirror/uplink sa
> pot obtine cat mai multe detalii din ce switch provine, mac-urile
> porturilor implicate in loop (probabil in arp-uri) ..si altele care imi
> scapa din vedere. Nu neaparat tcpdump dar poate exista alt soft etc...
> Astept orice propunere.
daca nu poti tine STP activat pe toate porturile, atunci seteaza
switchurile sa iti dea snmp trap cind apar mac-uri noi pe un port. iar
apoi daca ai un threshold oarecare ("convenabil ales" ca sa il citez pe
un fost prof de mate ), iei si implementezi o decizie. dupa parerea mea
trebuie sa stai de vorba cu fiecare switch in parte (si sa decizi un
shutdown la nevoie), nu e ceva ce sa faci pe un singur link pus in
mirror din simplul motiv ca in acel punct nu mai ai toata informatia
necesara. cel mult poti ca in acel linux sa observi ca s-a intimplat
ceva si sa speri ca poti sapa luind-o pe firul apei
_______________________________________________
RLUG mailing list
[email protected]
http://lists.lug.ro/mailman/listinfo/rlug
